The Doppler Quarterly (DEUTSCHE) Herbst 2017 | Page 49
Dieser Ansatz und die Tools, die Sie für Ihre Containerentwicklung wählen,
müssen an die Zielsetzungen der Anwendungen angepasst werden. Denken Sie
daran, dass Sie Services und Mikroservices sowie Container mit einem ganz-
heitlichen Ansatz testen.
Containersicherheit
Die Grundidee der Containersicherheit besteht darin, zunächst sicherzustel-
len, dass der Container vertrauenswürdig ist. Sie reduzieren dabei die Angriffs-
fläche und sorgen für ein generelles Management von Schwachstellen. Am
Sinnvollsten hierfür ist die Integration von Sicherheitsprüfprozessen in das
Image und in Ihre Testtools und -prozesse, wie zuvor definiert.
Schwachstellen werden gehandhabt, indem alle Images vom Zeitpunkt der
Erstellung oder Verwendung über die erstellten Schichten bis hin zu laufenden
Änderungen in Produktion und Betrieb verfolgt werden. Sie müssen die Images
in öffentlichen Image-Repositorys, privaten Image-Repositorys und im laufen-
den Betrieb über DevOps oder andere Lebenszyklusprozesse überwachen.
Es gibt viele Denkmodelle, wie man Container am besten auf Schwachstellen
testen kann. Als bewährtes Verfahren hat sich dabei herauskristallisiert,
Images mit externen Sicherheitstesttools zu testen. Diese Tools funktionieren
auch auf Mikroservicesebene innerhalb der Container-Images und auch in den
verschiedenen Schichten.
Im Wesentlichen müssen Sie davon ausgehen, dass die Images Schwachstellen
aufweisen, entweder an der Basis oder in den abgeleiteten Schichten. Sie kön-
nen jede Schicht und jedes Image nach Schwachstellen durchsuchen und diese
beheben. Dieser Prozess lässt sich am besten als systemischer Prozess
beschreiben. Er ist in jeder Phase des DevOps- oder Lebenszyklusprozesses
erforderlich wie Entwicklung, Test, Staging und Betrieb.
Beachten Sie, dass bei den Sicherheitsscans auch Compliance und Governance
überprüft werden sollten. Hier geht es in erster Linie um festgelegte, anpass-
bare Regeln. Im Vergleich dazu weisen Sicherheitslücken gemeinsame Muster
mit anderen Containerimplementierungen auf.
Containerbetrieb
Die meisten Anbieter von Tools für den Betrieb, einschließlich der Tools für die
Überwachung von Leistung, Sicherheit und Governance, für automatisierte
Korrekturmaßnahmen und für Failover-/Wiederherstellungsprozesse, unter-
stützen mittlerweile auch Container. Die Chancen stehen gut, dass Sie die
Tools Ihrer Wahl für Überwachung und Betrieb einsetzen können, um
Container in Produktionsumgebungen zu nutzen.
Es gibt jedoch grundlegende Unterschiede zwischen dem Betreiben von Cont-
ainern, ob lokal vor Ort oder in der Cloud, und der Überwachung traditioneller
Anwendungsworkloads in Produktionsumgebungen. Beispiele:
• Container interagieren in Produktionsumgebungen auf komplexe und
verteilte Art und Weise. Sie selbst müssen die Möglichkeit haben, jede
Containerinstanz zu überwachen, unabhängig davon, ob sie repliziert ist
oder nicht. Dies umfasst auch alle externen Ressourcen, auf die der Con-
tainer zugreift.
• Da es sich um Containerimages handelt, die auf Containerimages basie-
ren, müssen Sie auch in diesem Zusammenhang die Kopplung verstehen.
Herbst 2017 | THE DOPPLER | 47